Wir stellen fest, dass es zwei schwerwiegende logische Schwachstellen in den @AkuDreams-Verträgen gibt. Die erste Schwachstelle kann einen DoS-Angriff verursachen, und die zweite Schwachstelle führt dazu, dass die Projektmittel (mehr als 34 Millionen USD) für immer gesperrt sind.
Schwachstelle I
Die erste Schwachstelle befindet sich in der Funktion processRefunds. Diese Funktion hat eine Schleife, die die Gelder jedes Bieters zurückerstattet. Der Bieter kann jedoch ein bösartiger Vertrag sein, der die Transaktion rückgängig macht. Dies kann dazu führen, dass der Aufruf von processRefunds rückgängig gemacht wird und keine der Rückerstattungen der Benutzer erfolgreich ist. Glücklicherweise wurde diese Schwachstelle nicht ausgenutzt.
Wir schlagen vor, dass der Vertrag die folgenden Maßnahmen zur Rückerstattung von Benutzern ergreifen kann:
- Sicherstellen, dass nur EOAs bieten können
- ERC20-Token, z. B. WETH, anstelle von ETH verwenden
- Eine Funktion haben, die es einem Benutzer ermöglicht, die Rückerstattung selbst zu erhalten
Schwachstelle II
Die zweite Schwachstelle ist ein Softwarefehler. In der Funktion claimProjectFunds kann der Projektinhaber den Ether im Vertrag beanspruchen. Die require-Anweisung require(refundProgress >= totalBids, "Refunds not yet processed"); weist jedoch einen Fehler auf, der refundProgress mit _bidIndex anstelle von totalBids vergleichen sollte. Aufgrund dieser Schwachstelle wird die Anforderung niemals erfüllt, und der Ether (11.539,5 Ether) im Vertrag kann für immer gesperrt sein.
Zusammenfassung
Wir sind (nach dem NBA NFT-Fall gestern) wieder einmal überrascht, wie ein hochkarätiges Projekt grundlegende Praktiken der Softwaresicherheit vernachlässigen kann. Zumindest hätte das Projekt genügend Testfälle schreiben sollen. Leider vermuten wir, dass die Projekte zu beschäftigt waren, um die Testfälle zu schreiben, und 3400 USD für immer verloren haben.
Über BlockSec
BlockSec ist ein wegweisendes Blockchain-Sicherheitsunternehmen, das 2021 von einer Gruppe weltweit renommierter Sicherheitsexperten gegründet wurde. Das Unternehmen engagiert sich für die Verbesserung der Sicherheit und Benutzerfreundlichkeit der aufstrebenden Web3-Welt, um deren Massenadoption zu fördern. Zu diesem Zweck bietet BlockSec Auditing-Dienste für Smart Contracts und EVM-Ketten, die Phalcon-Plattform für die proaktive Entwicklung und Blockierung von Bedrohungen, die MetaSleuth-Plattform für die Verfolgung und Untersuchung von Geldern sowie die MetaDock-Erweiterung für Web3-Builder, die sich effizient in der Krypto-Welt bewegen.
Bislang hat das Unternehmen über 300 angesehene Kunden wie MetaMask, Uniswap Foundation, Compound, Forta und PancakeSwap betreut und in zwei Finanzierungsrunden von namhaften Investoren wie Matrix Partners, Vitalbridge Capital und Fenbushi Capital zehn Millionen US-Dollar erhalten.
Offizielle Website: https://blocksec.com/
Offizieller Twitter-Account: https://twitter.com/BlockSecTeam
